这是浏览器所关注的安全消息传递的有趣旅程。回到当天,您每天访问的许多网站都没有安全。通过安全,我的意思是他们没有使用https。没有挂锁,这意味着您与网站之间的流量没有加密,因此它很容易被窥探或更改。

你购买商品的网站倾向于使用HTTPS,这样你的信用卡号码就不会在穿越互联网时被拦截。但是随机的博客?论坛吗?信息门户?并非如此。人们经常会说,如果博客或信息网站不使用HTTPS,其实并不危险。没有发送或接收个人数据,也没有购买。有什么大不了的?

是的,这在某种程度上是有道理的。然而,正如Mozilla博客所强调的那样,网络上的任何人可以屏蔽或修改网站的数据在它到达你面前之前。无论你是在购物还是只是在看幽默的表情包,这都不是一件好事。这意味着恶意用户可以在你看到的页面中插入广告,在你的下载中添加恶意软件,或者将你重定向到你想访问的网站的虚假版本。

为什么创建HTTPS网站如此困难?

这也考虑到了成本因素.HTTPS证书和设置似乎是昂贵的,许多人认为HTTPS影响性能,并且使用它的好处通常不清楚。

从理论上讲,8到10年前,你是有可能获得免费的HTTPS服务的,但实际上,它通常只免费一年,或者服务可能不是很好。最重要的是,建立HTTPS是一件痛苦的事,非技术网站所有者几乎没有机会自己做。

举个例子:直到最近,如果您使用带有自定义域(托管在其他地方的域)的谷歌Blogspot博客,则不能使用HTTPs。

更糟的是,谷歌决定对不运行HTTPS的网站进行搜索排名标记为“不安全”.想象一下,你的博客在谷歌的Blogspot上,谷歌都不提供HTTPS,并且因为你不使用HTTPS而惩罚你!

简而言之,许多都是HTTPS启动和运行的障碍。如果你在过去成功地避开了成本问题,那么复杂性问题仍在等待着你。考虑到许多人基于价格、功能和位置使用不同的组织运行不同的服务,在你的网站上启动HTTPS是不可能的一项容易的任务。对于每一个以“这很容易”来打消顾虑的人,你可以找到更多遵循所有步骤的人,但不管怎样,他们最终还是无法工作。

改变了什么?

谷歌惩罚非HTTPS网站搜索排名的决定只是过去十年后半段出现的大量胡萝卜加大棒措施之一,这些措施将HTTPS的采用从小众市场推到了主流市场。

这一趋势始于十年前Firesheep在爱德华·斯诺登(Edward Snowden)揭露大规模互联网监控之前,这款浏览器插件让大型社交媒体网站因不使用HTTPS而蒙羞。

响应有许多形式,包括搜索引擎,免费的HTTPS服务,更好的Web托管,新Web协议,以及我们将在稍后的Web浏览器中看到的更改。

一场为好东西而举行的盛大游行

在安全性方面有一种倾向,即将好的安全性实践视为不寻常的、令人震惊的做法,而将坏的安全性实践视为司空见惯的、不太值得关注的做法。

这里有一些问题。我们将以无处不在的挂锁为例。

如果你回到几年前,当网站上的挂锁成为最新的大事件(™)时,这是一个“这绝对是一件好事”的即时横幅时刻。你不能为了我们的新英雄,挂锁的无限推广而在一些圈子里走动。

还有那个挂锁好!然而,这并不意味着它不是用于邪恶的行为。

一个常见的话题是“寻找挂锁”。如果它在那里,就意味着这个地方是安全的。”

嗯,没有。这意味着它是安全因为这些数据是不能被随机观察者偷看的。数据可以仍然被恶意网站所有者接收。你认为这意味着什么?

这意味着,许多钓鱼者和骗子开始建立HTTPs网站

由于当时的“挂锁=安全”信息,一些潜在的受害者可能不会登陆一个虚假的银行网站并想“哦,天哪,这看起来可疑。”离开的时候了。不错的尝试、钓鱼者”。他们可能会认为“设计有点偏差,但它有个挂锁,每个人都告诉我挂锁意味着它。安全.唷。”

一旦免费的HTTPS变得流行起来,即使对大多数人来说不是完全免费,这个问题也会变得更糟。突然之间,我们有了很多安全资源和培训,说“挂锁意味着它是真的”,而许多虚假网站开始体育挂锁

这是一个小例子,说明一个安全特性对所有人都可用,但在没有考虑到坏人也会使用它们的情况下,它可能会出问题。

回到浏览器。

这是一场为坏事而举行的盛大游行

Chrome正在遵循“这是安全的”通知的趋势,正如我们所看到的,这可能不是100%的帮助,而只是说“这个不安全。避免它“。这个镜子(故意)Web的更改已经过度为HTTPS,不寻常是常态。

当然,训练有素的寻找挂锁的人突然无法查看它们。另一方面,挂锁网站现在是如此普遍,看到挂锁不再那么有用了。

从现在开始,它的业务照常,直到Chrome说坏网站。

这不是最近的计划,通过任何手段。如果没有别的,Chrome倾向于给出大量提前的变化预警,所以人们可以根据需要调整它们。它首先提到了这一举动早在2018年,当时它说“用户应该预料到网络默认是安全的”。更具体地说,他们决定改变你的URL栏显示的内容如下:

[挂锁图标]|[安全]

他们旨在删除“安全”这个词,所以你只会看到

[挂锁图标]

最终会导致他们最终想要的状态

(网站)

...没有挂锁,或它旁边的“安全”一词。您还记得浏览器何时曾经在挂锁指示符旁边说“安全”?我不!它没有以任何方式伤害我的浏览。我强烈怀疑被删除的挂锁图标也不会伤害它。如果规范正常运行,为什么不断地突出常态?

更明智的做法似乎是在糟糕的东西上挂一个大牌子,写着“这是糟糕的”,然后收工。如果有一些浏览器还没有采取这一步骤,那么看看哪些浏览器会效仿将会很有趣。如果你是一个Chrome用户,当我们的小挂锁伙伴走向远方的最后一步时,不要惊慌。